Nesnelerin İnterneti (IoT) ile ilgili önemli bir veri ihlali siber güvenlik araştırmacısı Jeremiah Flower tarafından ortaya çıkarıldı. İhlal, aydınlatma sistemlerinde uzmanlaşmış bir Çinli şirket olan Mars Hydro’ya ve Kaliforniya merkezli bir işletme olan LG LED Solutions’a ait korunmasız bir veritabanına kadar izlendi. Flower, hassas verilerin ya bu şirketlerin güvenlik uygulamaları hakkında alarm vererek hileli bir şekilde erişildiğini veya kopyalandığını keşfetti.
İlginç bir şekilde, telgraftaki bazı siber güvenlik araştırmacıları, sızdırılan veritabanının 2019’da maruz kalanla aynı olabileceğini tahmin ediyor. Önceki ihlal, akıllı kontrol panelleri ve ışıkları ile tanınan bir Çin markası olan Orvibo’yu içeriyordu. Hangi şirketin veritabanından nihayetinde sorumlu olduğuna bakılmaksızın, raporlar bilgisayar korsanlarının 13 klasöre dağıtılan şaşırtıcı 1.7 terabayt veriye erişim kazanmış olabileceğini düşündürmektedir. Her klasör yaklaşık 100 milyon kayıt içeriyordu.
İhlalin tam kapsamı belirsizliğini koruyor ve çalınan verilerin kötüye kullanılması veya kötü niyetli partilere satılıp satılmadığı belirsiz. Ancak, tehlikeye atılan veriler kapsamlıdır ve e-posta adresleri, Wi-Fi kimlik bilgileri, telefon numaraları, hassas coğrafi konum verileri, hesap sıfırlama soruları ve cevapları, kullanıcı adları, IP adresleri, kullanıcı kimlikleri, akıllı cihaz adları, IoT cihaz programları ve daha fazlasını içerir. Bu kişisel ve cihazla ilgili bilgiler zenginliği, yanlış ellere düşerse ciddi gizlilik endişelerine yol açabilir.
Bu tür ihlaller genellikle yanlış yapılandırma hataları, ağ güvenlik açıkları, eski BT sistemleri ve şifreleme önlemlerinin eksikliğinden kaynaklanır. Birçok durumda, IoT cihazları kullanıcıların asla değiştirmediği varsayılan şifrelerle birlikte gelir ve bilgisayar korsanlarına sistemi kullanma ve ağdan ödün vermek için kolay bir giriş noktası verir.
Siber güvenlik uzmanları, IoT cihazlarının kullanıcılarını bilgilerini korumak için ihtiyati adımlar atmaları konusunda defalarca uyardı. Bu önlemler, günlüklerin şifrelenmesini, varsayılan şifreleri güçlü, alfasayısal şifrelerle değiştirme (özel karakterler dahil), şifre uzunluklarını 15 ila 18 karaktere uzatma ve özel veritabanlarına genel bulut hizmetleri aracılığıyla erişilememesini içerir.
Bu güvenlik en iyi uygulamalarını takip ederek, kullanıcılar gelecekte benzer ihlallere mağdur olma riskini önemli ölçüde azaltabilir, böylece kişisel verilerinin ve IoT cihazlarının korunmasını sağlar.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!